隨著新法規旨在遏制威脅的新法規,全世界的金融機構正處於加強網絡安全措施的日益壓力。在美國,美國證券交易委員會(SEC)提出了新的規則,要求金融公司披露網絡事件並概述其風險管理策略。 《歐盟的數字運營彈性法》(DORA)將為銀行,保險公司和投資公司執行更嚴格的安全標準。
這些法規是為了回應對供應鏈攻擊的日益擔憂,這是針對金融機構的網絡犯罪分子的主要向量。 2023年IBM數據洩露報告的成本發現,金融部門是網絡攻擊最昂貴的行業之一,平均每次違規成本為590萬美元。同時,歐洲中央銀行的研究警告說,現在有43%的金融網絡事件源於軟件供應鏈中的脆弱性。
隨著合規性要求的擴展,金融公司必須實施連續的軟件安全措施,而不是依靠定期審核或一次性評估。
新的合規任務需要軟件開發的透明度
監管機構越來越集中於金融機構軟件供應鏈的完整性。新的任務要求公司證明他們使用的軟件(無論是在內部開發還是從第三方供應商那裡採購)會符合嚴格的安全標準。
- 行政命令14028(美國):根據Solarwinds等重大網絡攻擊而發出的命令要求金融機構和軟件供應商對其安全實踐提供可驗證的證明。
- 數字運行彈性法(EU):Dora要求金融公司展示網絡安全準備,進行定期壓力測試並確保供應鏈安全。
- 巴塞爾委員會網絡彈性框架:全球銀行監管機構現在強調軟件安全性的主動威脅,以防止系統性財務中斷。
金融機構面臨著越來越多的壓力,以產生可讀的機器可讀證明,以驗證安全的開發實踐。這種轉變旨在超越自我報告的合規性主張,需要軟件完整性的加密證明。
Scribe Security在合規驅動的網絡安全中的作用
抄寫員安全提供了一個軟件供應鏈安全平台,使金融機構能夠在保持運營效率的同時滿足新興合規性要求。該平台集成了基於實時證明的驗證,以確保軟件得到安全開發和部署。
合規性的一個關鍵要素是軟件材料清單(SBOM),該監管機構越來越需要將透明度透明到第三方軟件組件中。 Scribe Security自動化SBOM的創建,驗證和管理,使金融公司可以在其軟件供應鏈中跟踪和減輕風險。
“監管機構現在希望金融機構在技術層面上證明其軟件供應鍊是安全的,”Scribe Security首席執行官Rubi Arbel說。“這不再只是文檔;這是關於通過加密證據來證明安全性。”
防止軟件篡改和確保代碼出處
金融機構通常依靠複雜的第三方軟件網絡,包括開源組件和基於雲的應用程序。這種複雜性增加了供應鏈攻擊的風險,在這種情況下,網絡犯罪分子將惡意代碼注入可信賴的軟件更新。
一個值得注意的例子是Solarwinds攻擊,損害了多個政府機構和金融公司。為了響應自那時以來的Solarwinds攻擊和攻擊的指數增加,監管機構現在要求組織實現零值架構,數字代碼簽名和持續的完整性驗證,以防止未經授權的修改。
SCRIBE安全性通過將自動安全控制直接嵌入軟件開發生命週期(SDLC)來解決此風險。該平台提供:
- 連續代碼簽名和出處驗證,以防止軟件構建中的篡改。
- 自動化的政策執法,以阻止不合規的軟件進入生產。
- 實時合規性監視以檢測脆弱性和不良配置,然後再升級。
“當出現安全違規時,金融機構必須為監管機構提供明確,可驗證的證明,證明出了什麼問題和採取了什麼措施,”Arbel解釋了。“抄寫員使他們能夠實時生成可審計的安全證明。”
彌合安全性和軟件開發之間的差距
對於金融公司來說,最大的合規性挑戰之一是使安全團隊與軟件開發人員保持一致。從歷史上看,安全合規被視為一種瓶頸,通常與敏捷的發展週期相衝突。
Scribe Security集成了策略 - 代碼功能,允許金融機構自動化安全控件而不減慢軟件發行。關鍵好處包括:
- 集中合規管理,整合了跨金融服務的IT生態系統的實時安全監控。
- 自動執行安全最佳實踐,減少了對手動合規性審查的需求。
- 與CI/CD管道集成,以確保安全要求隨軟件開發過程而發展。
通過將安全性嵌入開發工作流程中,金融機構可以在保持創新和速度的同時簡化合規性工作。
金融服務的未來就業安全策略
金融網絡安全的未來正在轉向持續合規驗證。諸如《網絡彈性法》(EU)和美國關鍵基礎設施法案(CIRCIA)等法規將在未來幾年引入更嚴格的授權。
巴塞爾銀行監督委員會(BCB)還表示,到2030年,網絡彈性措施將成為全球金融機構的核心要求。
Arbel強調了採用基於證據的安全的重要性:“隨著監管要求變得更加嚴格,今天接受持續證明的金融公司將處於更強的地位。”
金融機構可以通過整合實時驗證,政策驅動的安全執法和軟件供應鏈透明度,同時降低昂貴的違規風險,從而領先於不斷發展的法規。
